1. Potrzeba Zarządzania Siecią

Wyobraźmy sobie dużą sieć korporacyjną z setkami lub tysiącami urządzeń: routerów, przełączników, serwerów, drukarek i stacji roboczych. Dla administratora sieci utrzymanie tego złożonego ekosystemu w płynnym działaniu jest monumentalnym zadaniem. Skąd administrator wie, czy krytyczny router uległ awarii? Jak może śledzić wykorzystanie przepustowości na kluczowym łączu internetowym, aby przewidzieć przyszłe potrzeby? Jak jest powiadamiany, gdy na serwerze kończy się miejsce na dysku?

Ręczne odpowiadanie na te pytania, poprzez łączenie się z każdym urządzeniem z osobna, jest niemożliwe w każdej rozsądnej wielkości sieci. To fundamentalne wyzwanie doprowadziło do potrzeby stworzenia ustandaryzowanej, skalowalnej metody monitorowania i zarządzania urządzeniami sieciowymi. Właśnie ten problem został rozwiązany przez stworzenie Prostego Protokołu Zarządzania Siecią (SNMP). SNMP zapewnia wspólny język, którego mogą używać wszelkiego rodzaju urządzenia sieciowe do komunikowania informacji zarządczych do centralnej stacji monitorującej, co czyni go fundamentem nowoczesnego zarządzania siecią.

2. Główne Komponenty Architektury SNMP

Ramy działania SNMP opierają się na prostym modelu klient-serwer, obejmującym kilka kluczowych komponentów.

• Urządzenie Zarządzane (Managed Device)

  Jest to dowolne urządzenie w sieci, które zawiera informacje wymagające monitorowania lub zarządzania. Może to być wszystko, od prostej drukarki po złożony router rdzeniowy. Przykłady obejmują przełączniki, serwery, stacje robocze, zapory sieciowe, a nawet czujniki środowiskowe.

• Agent SNMP (SNMP Agent)

  Agent SNMP to wyspecjalizowane oprogramowanie działające na urządzeniu zarządzanym. Agent posiada lokalną wiedzę o informacjach zarządczych urządzenia, takich jak użycie pamięci, obciążenie procesora czy statystyki interfejsu sieciowego. Jego główną funkcją jest tłumaczenie tych informacji na format zgodny z SNMP i udostępnianie ich podmiotowi zarządzającemu. Nasłuchuje na żądania od menedżera, pobiera żądane informacje z urządzenia i odsyła odpowiedzi. Może również proaktywnie wysyłać alerty do menedżera, gdy wystąpi znaczące zdarzenie.

• Stacja Zarządzania Siecią (NMS)

  NMS to centralna aplikacja używana przez administratorów do monitorowania i kontrolowania sieci. Działa na potężnym komputerze i zapewnia interfejs użytkownika (często graficzny) dla administratora sieci. NMS aktywnie odpytuje agentów SNMP na urządzeniach zarządzanych w celu zbierania danych o wydajności, wyświetlania ich w przyjaznym dla użytkownika formacie (jak wykresy i pulpity nawigacyjne) oraz analizowania ich w celu wykrywania trendów lub problemów. NMS jest również odbiorcą alertów (trapów) wysyłanych przez agentów.

3. Język SNMP: MIB i OID

Aby NMS i agenci mogli sensownie się komunikować, potrzebują wspólnego, ustrukturyzowanego języka do opisywania informacji zarządczych. Służą do tego Baza Informacji Zarządczej (MIB) i Identyfikatory Obiektów (OID).

Baza Informacji Zarządczej (MIB)

MIB to formalna specyfikacja, w istocie zbiór zasad lub słownik, który definiuje wszystkie zarządzalne obiekty na urządzeniu sieciowym. Jest to plik tekstowy, napisany w standardowym języku zwanym ASN.1 (Abstract Syntax Notation One), który opisuje strukturę danych zarządczych. Dla każdego zarządzalnego parametru (jak "czas działania systemu" lub "liczba pakietów na interfejsie 2"), MIB definiuje kilka właściwości:

• Nazwę tekstową (np. 'sysUpTime').
• Unikalny adres, zwany Identyfikatorem Obiektu (OID).
• Typ danych parametru (np. liczba całkowita, licznik, ciąg znaków).
• Prawa dostępu (np. tylko do odczytu lub do odczytu i zapisu).

Sam MIB nie jest bazą danych przechowywaną na urządzeniu; jest raczej schematem. NMS musi załadować plik MIB dla danego urządzenia, aby móc zrozumieć znaczenie danych, które otrzymuje od agenta na tym urządzeniu.

Identyfikatory Obiektów (OID) i Drzewo MIB

OID to unikalny adres, który wskazuje na określony obiekt zarządzany. Wszystkie OID są zorganizowane w globalnej, hierarchicznej strukturze, często nazywanej drzewem MIB. Drzewo to ma standardowy korzeń zarządzany przez międzynarodowe organizacje normalizacyjne (takie jak ISO i ITU). Z korzenia różne gałęzie są delegowane do różnych organizacji. Na przykład:

Gdy NMS chce poznać opis systemu urządzenia, żąda wartości OID $1.3.6.1.2.1.1.1.0$. Końcowe $.0$ jest identyfikatorem instancji, wskazującym, że jest to obiekt skalarny (obiekt, który ma tylko jedną instancję). Dla obiektów tabelarycznych, takich jak tabela interfejsów, identyfikator instancji odpowiadałby indeksowi wiersza (np. numerowi interfejsu).

4. Podstawowe Operacje SNMP

Komunikacja między NMS a agentami odbywa się za pomocą małego zestawu prostych komunikatów, znanych jako Jednostki Danych Protokołu (PDU).

• Żądanie GET: Jest to komunikat wysyłany z NMS do agenta w celu pobrania wartości jednego lub więcej określonych OID. Na przykład: "GET $1.3.6.1.2.1.1.1.0$".
• Żądanie GETNEXT: Służy do "przechodzenia" po drzewie MIB. Prosi agenta o wartość OID, który występuje w drzewie MIB następny po podanym. Jest to przydatne do odkrywania wszystkich obiektów, które obsługuje urządzenie, lub do odczytywania wszystkich wierszy w tabeli bez znajomości ich liczby.
• Żądanie GETBULK: Wprowadzone w SNMPv2c, jest to bardziej wydajna wersja GETNEXT. Pozwala NMS zażądać całego bloku danych w jednej transakcji (np. "daj mi następne 10 obiektów"), co znacznie zmniejsza liczbę żądań i odpowiedzi, i jest idealne do odpytywania dużych tabel, takich jak tablice routingu.
• Żądanie SET: Wysyłane z NMS do agenta w celu zmiany wartości obiektu zarządzanego, pod warunkiem, że obiekt ten jest zdefiniowany jako do odczytu i zapisu w MIB. W ten sposób SNMP jest używany do zarządzania i konfiguracji (np. zmiana nazwy kontaktowej urządzenia lub wyłączenie interfejsu).
• TRAP: W przeciwieństwie do poprzednich poleceń inicjowanych przez menedżera, TRAP jest niezamówionym, asynchronicznym powiadomieniem wysyłanym od agenta do NMS. Agenci są konfigurowani do wysyłania trapów, gdy wystąpi określone, znaczące zdarzenie (np. awaria łącza, ponowne uruchomienie urządzenia, błąd uwierzytelniania). Jest to komunikat typu "wystrzel i zapomnij"; agent nie wie, czy menedżer go otrzymał.
• INFORM: INFORM jest podobny do TRAP, ale jest to powiadomienie potwierdzane. Gdy agent wysyła INFORM, oczekuje potwierdzenia od NMS. Jeśli potwierdzenie nie zostanie odebrane, agent może ponownie wysłać INFORM. Zapewnia to większą niezawodność dla krytycznych alertów.
• Response: Jest to komunikat używany przez agenta do odesłania danych żądanych przez komunikaty GET, GETNEXT lub GETBULK, lub do potwierdzenia powodzenia/niepowodzenia polecenia SET.

5. Ewolucja Wersji i Bezpieczeństwa SNMP

SNMP znacznie ewoluował na przestrzeni lat, głównie w celu rozwiązania poważnych słabości bezpieczeństwa w jego oryginalnym projekcie.

• SNMPv1: Oryginalny Standard

  Pierwsza wersja SNMP opierała się na bardzo prostym mechanizmie uwierzytelniania zwanym ciągami community. Były to w zasadzie hasła w postaci czystego tekstu, współdzielone między NMS a wszystkimi jego agentami. NMS wysyłał ciąg community wraz ze swoim żądaniem, a jeśli pasował do skonfigurowanego na agencie, dostęp był udzielany. Metoda ta jest wysoce niebezpieczna, ponieważ każdy, kto przechwyci ruch sieciowy, może odczytać ciąg community i użyć go do uzyskania nieautoryzowanego dostępu.

• SNMPv2c: Wersja v2 Oparta na Community

  SNMPv2 wprowadził kilka ulepszeń protokołu, w tym wysoce wydajną operację 'GETBULK' oraz wsparcie dla 64-bitowych liczników (niezbędnych do monitorowania szybkich interfejsów sieciowych, gdzie 32-bitowe liczniki mogłyby się zbyt szybko zerować). Jednak najszerzej wdrożony wariant, SNMPv2c, nadal używał tego samego niebezpiecznego modelu bezpieczeństwa opartego na ciągach community, co SNMPv1. Litera 'c' w v2c oznacza 'community'.

• SNMPv3: Bezpieczny Standard

  SNMPv3 został opracowany specjalnie w celu rozwiązania głębokich wad bezpieczeństwa swoich poprzedników. Wprowadził on kompleksowe ramy bezpieczeństwa zwane Modelem Bezpieczeństwa Opartym na Użytkowniku (USM). Model ten zastępuje niebezpieczny, globalny ciąg community systemem indywidualnych użytkowników, z których każdy ma własne poświadczenia. SNMPv3 zapewnia trzy kluczowe usługi bezpieczeństwa:

  • Uwierzytelnianie: Zapewnia, że komunikat pochodzi z legalnego źródła i nie został zmieniony w trakcie przesyłania. Osiąga się to przez utworzenie skrótu wiadomości (za pomocą algorytmów takich jak MD5 lub SHA) z tajnym kluczem współdzielonym między użytkownikiem a agentem.
  • Prywatność (Szyfrowanie): Szyfruje zawartość komunikatu SNMP, aby uniemożliwić jego odczytanie przez osoby postronne. Zazwyczaj odbywa się to za pomocą algorytmów szyfrowania takich jak DES lub AES.
  • Kontrola Dostępu: Pozwala administratorom precyzyjnie definiować, co dany użytkownik może zobaczyć i zmodyfikować, zapewniając szczegółową kontrolę nad zarządzaniem siecią.

  SNMPv3 definiuje trzy poziomy bezpieczeństwa: 'noAuthNoPriv' (brak bezpieczeństwa, dla zgodności wstecznej), 'authNoPriv' (uwierzytelnianie, ale bez szyfrowania) oraz 'authPriv' (uwierzytelnianie i szyfrowanie). Dla każdej nowoczesnej sieci 'authPriv' jest jedynym zalecanym poziomem bezpieczeństwa.

6. SNMP i Warstwa Transportowa: UDP

Protokół SNMP został zaprojektowany tak, aby był jak najlżejszy, w celu zminimalizowania wpływu na wydajność sieci i zasoby zarządzanych urządzeń. Z tego powodu jako mechanizm transportowy wykorzystuje głównie User Datagram Protocol (UDP).

• NMS wysyła żądania na port agenta $161$.
• Agent wysyła TRAPy lub INFORMY na port NMS $162$.

Wybór UDP, protokołu bezpołączeniowego, oznacza, że SNMP jest szybki i ma niski narzut. Jednak UDP nie zapewnia wbudowanych gwarancji dostarczenia. SNMP radzi sobie z tym tam, gdzie jest to konieczne: w przypadku krytycznych powiadomień, PDU typu "INFORM" wymaga potwierdzenia, dodając warstwę niezawodności na wierzchu zawodnego transportu UDP.